文/李瑞
“五位一体”轻松管网
文/李瑞
为迎接数字校园运行带来的挑战,锐捷网络着眼网络一体化管理,从而降低运维管理难度、优化用户使用体验、改善网络安全审计以及实现面向数字校园的开放整合。
当前,以数字校园为特征的教育信息化发展正驶入高速路,各种信息化应用正在或即将改变着师生们的工作、学习、生活以及思维方式,促发着教育模式和教育观念的变革。
如火如荼的数字校园建设对作为其基础承载的校园网规划建设提出了全新的挑战。必须做到面向数字校园的校园网安全运营管理。校园网规划建设包含安全、运营和管理三个方面的主要内容。
作为网络规划建设和运维管理人员需要做到:
首先,需要分别或同时的对包括有线/无线宿舍网、有线/无线科研办公网、校外VPN访问、家属区甚至是新建办公楼、新建校区等在内的主要网络区域进行网络安全认证、计费、运维管理的规划建设,每个区域在认证方式、计费策略、安全策略、管理策略等方面具有明显的区域化需求特征;
其次,需要考虑安全运营管理平台是否可以兼容校内已有的软硬件设施,达到投资保护的目的;并且,是否能够与校内已有的多种应用系统、在建和已建的一卡通、数字校园系统实现对接;
再次,校园网又具有接入用户群体多样性、网络接入方式多样化的基本需求特征,与此同时,网络用户对网络使用体验提出了极高的要求、希望网络的规划建设对其来说是透明的。
伴随数字校园的发展,教学、科研和管理等业务对信息化的依赖越来越大,应用类型不断增多,种种因素交织在一起势必在投资成本、管理难度、用户体验、安全审计以及开放整合等多个方面对传统的校园网安全运营管理提出了全新的挑战,是否能够实现、以及具体如何实现校园网的统一认证运营管理逐步成为备受关切的问题。
多年的摸索和实践使我们认识到,校园网安全运营管理的核心需求及特点可归纳为五个方面:
1.准入和准出一体化;
2.802.1x和Web一体化;
3.有线和无线一体化;
4.校内和校外一体化;
5.IPv4和IPv6一体化。
面向数字校园的校园网安全运营管理要求对这五个方面进行完整的涵盖,五个方面的分别一体化是过程、五个方面的整合一体化是目标,直至实现校园网的全网统一认证运营管理。
准入和准出一体化
准入认证是为了验证身份,包括接入网络中的用户标识(User ID)、主机标识(MAC)、网络标识(IP),确保网络用户身份的合法、真实,实现内网的安全、可控、易定位和强审计。
准出是为了区分权限,需要针对某个网络用户是否可访问校外、可使用多少流量、可占用多少带宽等进行定义。同时,基于校园网准出技术,满足基于时长、流量、带宽三者独立或任意复合的计费策略,适应普遍存在的校内免费、校外收费的计费需求。
面向数字校园的准入和准出一体化,需要考虑如下三个方面的具体内容:
1.准入认证:负责实施准入认证的接入交换机要能够实现动态的User ID+MAC+IP+Port的自动绑定,确保入网用户身份合法、入网主机标识和网络标识的真实可信;
2.准出认证:负责实施准出认证的认证计费网关要能够实现基于用户身份的访问权限控制、带宽管理和流量计费;
3.管理平台:准入和准出采用统一的安全计费管理平台,用户仅需1套账号密码并能够自由、自主的在内外网访问间实现方便的切换。
图1 校园网接入用户群体的多样性、网络接入方式的多样化
802.1x和Web一体化
众所周知,Web准入认证兼备传统的802.1x准入认证和Web准出认证的优点,非常适合需求“易用易管保安全”的教学科研办公区管理。
与之对应的是802.1x准入认证,更适合需求“可控可管可运营”的学生宿舍网运营。
面向数字校园的802.1x和Web一体化,需要考虑如下三个方面的具体内容:
1.接入交换机:基于部署灵活、投资保护的考虑,接入交换机实现802.1x准入和Web准入的同时支持。
首先,在统一认证计费管理平台的协同下,实现基于用户身份和所在区域的多种认证方式;
其次,支持真实源地址保障,即802.1x准入和Web准入均能够在认证通过时动态的自动绑定用户所使用的IP+MAC+端口。
2.认证计费网关:能够实现对应的802.1x准出和Web准出;
3.管理平台:802.1x准入、802.1x准出,Web准入、Web准出可通过统一的认证计费管理平台进行管理。
有线和无线一体化
面向数字校园的有线和无线一体化,需要考虑如下三个方面的具体内容:
1.接入方式:校园网同时具备有线网络接入能力和无线网络接入能力;
2.认证方式:有线接入认证和无线接入认证均可以采用802.1x和Web认证方式;
3.管理平台:有线802.1x认证、有线Web认证、无线客户端认证、无线Web认证可通过统一的认证计费管理平台进行管理。
出于安全和管理的需要,无线客户端认证方式需要继承有线802.1x认证方式的某些特性,如防代理、在线短消息等功能。
校内和校外一体化
随着数字校园建设和应用的深入,校外VPN访问需求变得越来越普遍。
面向数字校园,安全计费管理平台要能够实现对校外VPN访问的支持,包括基于客户端方式的IPSec VPN和基于Web浏览器的SSL VPN,并且通过该平台可以实现基于用户身份的网络资源访问权管理。
校内和校外一体化,对于管理人员来说,仅需对1套系统、1份用户身份信息进行操作;对于网络用户来说,在校内和校外仅需1套账号密码,在降低运维管理复杂度的同时还可以有效的提升用户使用体验。
IPv4和IPv6一体化
下一代互联网的发展和演进势不可挡,校园网安全运营管理被要求同时承载IPv4协议和IPv6协议,满足IPv4接入和IPv6接入需求。
面向数字校园,校园网安全计费管理系统要能够在身份管理、用户管理、安全管理以及计费管理等方面提供丰富的IPv4和IPv6一体化技术支撑。例如,在用户管理方面能够分别实现IPv4用户、IPv6用户、IPv4/IPv6双栈用户的实时在线人数统计和历史在线用户统计;在安全管理方面实现在RADIUS Server端和接入交换机端对用户IPv6地址的绑定等。
图2 面向数字校园的校园网安全运营管理
图3 创新网络价值
五位一体的数字校园安全运营管理,可实现1套安全计费管理系统、1名运维管理人员、1套账号密码的全网统一认证运营管理;除此以外,该系统还需要能够提供开放的第三方接口、支持LDAP对接,多厂商接入设备兼容等开放整合特性,进而最大限度的减少建设投资成本、降低运维管理难度、优化用户使用体验、改善网络安全审计以及实现面向数字校园的开放整合,创新网络价值,最终为数字校园的合理建设和持续发展奠定安全无忧、运营无忧、管理无忧的坚实承载。